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(54) Procede d'authentification d'au moins un dispositrf dldentrficatlon par un dispositrf de verification et dispo- 
sitrf pour sa mise en oeuvre. 

fey La presente invention concerne un procede d'authenti- 
flcation d'au moins un dispositrf d' identification par un dis- 
positif de verification. 

Dans le cadre du procede, rauthentification est realisee 
par un protocols a apport nul de connaissance base sur le 
probleme du decodage par syndrome. Le procede com- 
prend I'etablissement d'un vecteur secret s d'un poids de 
hamming d, d'une matrice connue M de dimensions n x k 
et d'un vecteur public K tel que K = Ms, la production d'un 
vecteur aleatoire y et une permutation aleatoire p au niveau 
du disposrtif d'ident'rficatfon, un engagement sur des para- 
metres dependant de y et/ou p et/ou s base sur I'usage de 
la fonction de hachage cryptographique H et de la matrice 
M, une echange d' informations concemant y, p t s permet- 
tant de repondre aux questions posees par le disposrtif de 
verification sans reveler directement ou indirectement s a 
celui-ci et une verification a I'aide de K et/ou des informa- 
tions precedemment transmises de la validrte des engage- 
ments haches. L'invention s'applique notamment a la tele- 
vision a peage. 
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PROCEDE D'AUTHENTIFICATION D'AU MOINS UN DISPOSITIF 
□'IDENTIFICATION PAR UN DISPOSITIF DE VERIFICATION ET 
DISPOSITIF POUR SA MISE EN OEUVRE 

5 La pr6sente invention a pour objet un proc6d6 

d'authentification d'au moins un dispositif d'identification par un 
dispositif de verification, cette authentification etant r6alis6e par un 
protocole a apport nul de connaissance base sur le problSme du 
decodage par syndrome. 

10 La prSsente invention a aussi pour objet des dispositifs 

dMdentification et de verification pour la mise en oeuvre dudit procede. 
La pr6sente invention s'applique, plus particulierement, au cas des 
communications dites s6curis6es ou deux dispositifs 6changent des 
donnees 3 travers un canal dont la s6curite est suspecte. Dans ce cas, il 

15 est essentiel d'avoir un moyen de reconnaissance mutuelle, 3 savoir un 
moyen permettant a un dispositif de verification d'authentifier un 
utilisateur et de lui permettre facets aux donnees ou aux services. II 
existe de nombreux exemples necessitant la mise en oeuvre de ce type 
de communication s§curis£e. On peut citer, notamment, le cas des 

20 ordinateurs de type bancaire permettant d'effectuer des transferts 
d'ordres. Dans ce cas, les deux ordinateurs doivent avoir la certitude 
quMIs sont bien en communication I'un avec I'autre et non pas avec une 
entite pirate. On peut citer aussi le cas des distributeurs automatiques de 
billets, des d6codeurs de television d p6age, des publiphones. Dans ces 

25 exemples, le dispositif d'identification est constitue par un appareil 
portable tel qu'une carte S puce ou une c!6 eiectronique et le dispositif 
de verification inclus soit dans le distributeur ou fe decodeur doit 
controler la validite des differents moyens d'accds de la carte S puce ou 
de la cie eiectronique. 

30 Dans ce contexte, on utilise frequemment des methodes 

d'authentification qui sont basees sur des techniques cryptographiques S 
cies secretes. Ces methodes sont, jusqu'S ce jour, les plus simples d 
mettre en oeuvre. Dans le cadre de ces methodes, le dispositif 
d'identification par exemple les cartes £ puces et le dispositif de 
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verification tel qu'un terminal, un lecteur de cartes, un d6codeur, un 
publiphone, partagent la m§me c!6 secrete et T identification est 
accomplie par un algorithme symetrique ou une fonction S sens unique. 
L' inconvenient de ces methodes reside dans le fait que les deux parties, 
5 3 savoir le dispositif de verification et le dispositif d'identification, 
doivent cooperer mutuellement et secretement. Cette condition n'est pas 
toujours verifiee. Effet, un element pirate peut acheter le dispositif de 
verification et ('analyser pour connaTtre sa structure interne. Sur la base 
de cette analyse, Peiement pirate est techniquement capable de realiser 

10 des dispositifs d' identification performants, car les m§mes cl6s secretes 
sont pr6sentes aux deux extremes du reseau, e savoir dans le dispositif 
de verification et dans le dispositif d' identification. 

II est reconnu que, parmi les divers procedes pouvant §tre 
impiementes pour se pr6munir contre les inconvenients des methodes 

15 classiques connues, les protocoles 3 apport nul de connaissance 
assurent jusqu'3 maintenant le degre de securite le plus eieve. 

En resume, les protocoles d' identification 3 apport nul de 
connaissance sont fonctionnellement caracterises par le fait qu'un 
nombre illimite d'interactions avec le dispositif d'identification et une 

20 analyse complete de la structure du dispositif de verification ne sont pas 
suffisants pour pouvoir reconstruire les dispositifs d'identification. 

Toutefois, les protocoles a apport nul de connaissance qui 
constituent une solution ideale au probldme de P identification presentent 
un inconvenient majeur. Leur realisation est quelque peu difficile 3 faire 

25 eiectroniquement, car ellle demande un nombre d'operations trds 
important. On pourra trouver une description des procedes 
d'identification d apport nul de connaissance existant notamment, dans 
le brevet americain A-4 748 668 au nom de FIAT et al. ou dans la 
demande de brevet europeenne A-0 311 470 au nom de GUILLOU et AL. 

30 Des efforts ont ete accomplis recemment afin de d6velopper 

des methodes d'identification dont la realisation eiectronique soit plus 
facile. Une telle methode est decrite notament dans le brevet americain 
US-A-4 932 056 au nom de SHAMIR. Cette methode est connue sous le 
nom de methode PKP. Toutefois, cette methode, qui est plus facile & 
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rSaliser eiectroniquement que les algorithmes manipulant les grands 
nombres, presente I'inconvenient d'etre relativement lente lors des 
^changes entre les dispositifs de verification et d'identification. 

La presente invention a done pour but de remSdier aux 
5 inconv6nients mentionnes ci-dessus en proposant un nouveau procede 
d' authentication qui soit facilement realisable eiectroniquement et qui 
permette une authentification rapide du dispositif d'identification par le 
dispositif de verification. 

En consequence, la presente invention a pour objet un procede 

10 d'authentification d'au moins un dispositif d 1 identification par un 
dispositif de verification, cette authentification etant r6alisee par un 
protocole 3 apport nul de connaissance base sur le problSme du 
decodage par syndrome ou le probieme connu sous le nom de "Modular 
Knapsack" , le procede etant caracterise par les etapes suivantes : 

15 - pour permettre le dialogue entre le dispositif d'identification 

et le dispositif de verification, etablir une cl6 secrete constituee par au 
moins un vecteur s\ de dimension n et de poids de Hamming d (d<n) et 
une cl6 publique comprenant une matrice M de dimensions n x k dont les 
coefficients sont choisis aieatoirement et au moins un vecteur Kj tels que 

20 Kj = Msj ; 

- au niveau du dispositif d'identification, produire un vecteur 
aieatoire y de dimension n et une permutation aieatoire p et envoyer au 
dispositif de verification un engagement obtenu en appliquant une 
fonction de hachage cryptographique H sur des paramdtres fonction de 

25 y # p r s et M ; 

- puis, en fonction d'un nombre aieatoire tire par le dispositif 
de verification et envoye au dispositif d'identification, r6veier au 
dispositif d'identification, certains elements fonction de y, p et Sj sans 
r6veier Sj ; 

30 - et en fonction du nombre aieatoire, tester au niveau du 

dispositif de verification £ I'aide des elements regus et de la cie publique 
que les engagements sont corrects ; 
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- r6p6ter les operations pr6c6dentes un nombre de fois 
fonction du niveau de securite souhaite sachant que ce niveau de 
securite est exponentiellement croissant avec le nombre de tours. 

Dans le proc6de d'authentification ci-dessus, on utilise une 
5 matrice M de dimensions nxk, cette matrice etant commune £ tous les 
utilisateurs et construite aieatoirement. Chaque utilisateur repoit une cl6 
secrete s qui est un mot de n bits avec un nombre d present de 1 . Dans 
ce cas, le systeme caicule la cie publique K telle que K = MS. 

Alternativement, un utilisateur peut §tre dote de plusieurs c!6s 
10 secretes s[1], s[w] auxquelles sont associees des elds publiques 
K[i] = Ms[i]. Avantageusement, on peut exiger que ces vecteurs s[1], 
s[w] forment un code simplexe etendu. 

Le proc6de d 1 identification est base principalement sur la 
notion technique d'engagement. Si U est une sequence d'6l6ments 
15 binaires, un engagement pour U est I'image de U d travers une certaine 
fonction de hachage cryptographique. L'engagement sera utilise comme 
une fonction & sens unique. 

Selon un premier mode de realisation du proc6de 
d'authentification, dans une premiere 6tape 
20 - a) commune aux differents procedes, le dispositif 

d'identification r6v6!e son identity et/ou sa ou ses ctes sign6es au 
dispositif de verification qui verifie que I'identite en question correspond 
bien au vecteur Kj, puis 

apr£s avoir choisi un vecteur aieatoire y et une permutation 
25 algatoire p, 

- b) le dispositif d'identification calcute : 

h<| = H(p,My), h 2 = H(y p ), h 3 = H (y xor s) p ) et expedie 
('engagement {h-j, h2, h 3 } au dispositif de verification, (x p repr6sentant 
le vecteur x permute par p et xor la fonction Ou exclusif), 
30 - c) puis !e dispositif de verification tire de fa$on aieatoire un 

nombre 0 < q < 4 et I'expedie au dispositif d'identification, 

- d) alors le dispositif d'identification caicule et envoie au 
dispositif de verification une reponse r definie par : 

Si q = 1 alors r = {y r p} 
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Si q = 2 alors r = {y xor s, p} 
Si q = 3 alors r = {yp, Sp} 

- e) le dispositif de verification regoit r = {U,V} et teste que : 
Si q = 1 alors h*j = H (V,MU) et h 2 = H(U V ) 

5 Si q = 2 alors h-j - H(V, (MU) xor K) et h3 = H{Uv) 

Si q = 3 alors h 2 = H(U), h3 = H(U xor V) et le poids de 
Hamming de V est d, 

- f) si le test correspondant d q s'est av6r6 correct, le dispositif 
de verification considfere que le protocole s'est termini par un succfes. 

10 Selon un autre mode de realisation de la pr£sente invention, ou 

le vecteur s est remplace par une collection de w vecteurs s[1], s[2], 
s[w] formant un code simplexe de poids d, aprSs avoir choisi un vecteur 
aleatoire y et une permutation aleatoire p 

-b) le dispositif d'identification calcule h-| = H(My, p), h 2 = 

15 H(y p , s[1] p , ... # s[w] p ) et expedie ('engagement {h^, h 2 } au dispositif de 
verification, 

- c) le dispositif de verification tire de fagon aleatoire un 
vecteur binaire b[1], b[w] et ('envoie au dispositif d'identification ; 

- d) le dispositif d'identification calcule et envoie au dispositif 
20 de verification une r6ponse z definie par : 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
s[w] p b[w] ; 

- e) le dispositif de verification tire de fagon aleatoire un bit q 
et I'envoie au dispositif d'identification, 

25 - f) le dispositif d'identification envoie une r6ponse r definie 

par : 

Si q = 0 alors r = {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 

- g) le dispositif de verification report une r6ponse r = {r[0], 
30 r[1], r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 

- h) le dispositif de verification teste que : 

Si q = 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w] et {r[1], r[2], r[w]} forme un code simplexe ; 
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Si q = 1 alors H(M(depermute(z r r[0]}) xor {K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]), r[0]) = h-j 0C1 K[i] » Ms[i] 

- i) si le test correspondant a q s'est av6r6 correct le dispositif 
de verification consid6re que le protocole s'est termini par un succSs. 

5 D'autres avantages de la prgsente invention apparaTtront a la 

lecture de la description de diff6rents modes de. realisation du proc6d§, 
cette description etant faite avec reference aux dessins ci-annexes dans 
lesquels : 

- la figure 1 est un schema expliquant un premier mode de 
10 mise en oeuvre du procede d'authentification conforme d la pr6sente 

invention ; 

- la figure 2 est un schema d'un second mode de realisation du 
procede conforme 3 la presente invention ; 

- la figure 3 est un schema sous forme de blocs d'un dispositif 
15 d'identification conforme S la presente invention ; 

- la figure 4 est un schema sous forme de blocs d'un dispositif 
de verification conforme 3 la pr6sente invention, et 

- la figure 5 est un schema eiectrique d'un exemple de 
realisation d'un multiplicateur matrice/vecteur conforme d (a presente 

20 invention. 

La presente invention concerne done un nouveau proc6d6 
d'authentification realise par un protocole £ apport nul de connaissance. 
La securite du precede est basee sur le probteme du decodage par 
syndrome (DS) qui peut etre explicite de la manidre suivante : soit une 

25 matrice binaire M et un vecteur binaire K, il s'agit de trouver un vecteur 
binaire s de poids relativement fort ou relativement faible, tel que 
Ms = K. Par poids, on entend le nombre de bits a 1 dans le vecteur 
concerne. Le probieme pose ci-dessus est en fait tr6s difficile S r6soudre 
par les moyens de calcul connus & ce jour, si les dimensions de la 

30 matrice M et le poids d'Hamming d de s sont choisis judicieusement. Les 
algorithmes connus pour resoudre le probieme du d6codage par 
syndrome tels que d6crits, par exemple, dans I'article de J,S Leon "A 
probabilistic algorithm for computing minimum weights of large error- 
correcting codes" dans IEEE TIT, 34(5), pages 1354 d 1359 ou dans 
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['article J. Stern "A method for finding codewords of small weight" 
Coding Theory & Applications, notes de lecture en Computer Science 
388 (1989), pages 106-113 ont un temps de calcul qui crott 
exponentiellement avec la taille des matrices en question. 
5 Les moyens de calcul actuels ne permettent pas de calculer s 

si les dimensions de M sont aux environs de 500 par 250 et la valeur de 
d proche de 50. Toutefois, £tant donn£ s (pris au hasard mais avec un 
certain poids}, il est possible de calculer K. 

Dans la pr£sente invention, on utilise cette propriety 3 sens 
0 unique pour que Pappareil de verification qui connaTt K puisse tester que 
le dispositif d 1 identification possSde s sans que sa valeur soit r£v£I£e au 
cours de ^interaction. 

Pour mettre en oeuvre le proc£d£ d'authentification conforme £ 
la pr£sente invention, une autoritS choisit et publie la matrice M 
5 constitute de coefficients ay qui ont 6t6 choisis ateatoirement. En fait, 
pour £viter de memoriser toute la matrice M, il est possible de g£n6rer 
chaque coefficient ay par f(i,j) ou f est une fonction pseudo-al§atoire 
publique quelconque. 

L'autorite choisit aussi une collection de vecteurs binaires s\, d 
savoir s<j, S£, s n , dont le poids de Hamming d est relativement faible 
et les distribue aux divers dispositifs d'identification. Ainsi, le dispositif 
d'identification i report Sj. D'autre part, on publie ('ensemble des ctes 
publiques Kj ou Kj = Ms;. 

Selon une variante de realisation, Pautorite peut aussi apposer 
sa signature sur les Kj de facon 2 constituer un systSme cryptographique 
ferme od une interaction avec I'autorite est necessaire afin de valider les 
c!6s publiques cr6ant ainsi un systSme base sur I'identit6 du porteur de la 
cie secrete Sj. 

On decrira maintenant deux modes de realisation specifiques 
du procede de la pr£sente invention. 

Le premier proc6d6 sera d6crit avec reference S la figure 1 qui 
represente schematiquement le protocole de communication mis en 
oeuvre entre un dispositif d 1 identification et le dispositif de verification 
pour rSaliser une authentification. Les dispositifs d'identification qui 



2700430 



peuvent etre constitues, par exemple, par des cartes a puce ou des cies 
eiectroniques doivent etre physiquement inviolables. Ainsi, pour une 
carte d puce, il doit §tre impossible d'accSder a sa mSmoire interne. Rien 
par contre n'est suppose concernant renvironnement dans lequel evolue 
5 le dispositif de verification. De plus, comme represents sur les figures 3 
et 4 qui representent schematiquement un dispositif d'identification et un 
dispositif de verification, le dispositif d'identification comporte dans une 
mSmoire non volatile sa cie secrete s\ et la matrice M, de mfime le 
dispositif de verification comporte dans une memoire non volatile 
10 ('ensemble des cles publiques Kj et la matrice M. Quand un dispositif 
d'identification veut entrer en contact avec un dispositif de verification, 
les deux dispositifs ex£cutent (e protocole suivant : 

- a) tout d'abord le dispositif d'identification r£v£le son identity 
et/ou sa cle signee Kj au dispositif de verification qui verifie que I'identite 

15 en question correspond bien S Kj. 

- b) ensuite, le dispositif d'identification choisit un vecteur 
binaire aieatoire y et une permutation aieatoire p. Puis, il calcule les 
elements suivants : 

hi = H(p,My), h2 = H(y p ), h3 = H ((y xor s) p ) et expedie 
20 I'engagement {hi, h2, ^3} au dispositif de verification, {x p repr6sentant 
le vecteur x permute par p et xor la fonction Ou exclusif), 

- c) puis le dispositif de verification tire de fapon aieatoire un 
nombre 0 < q < 4 et I'expedie au dispositif d'identification, 

- d) alors le dispositif d'identification calcule et envoie au 
25 dispositif de verification une reponse r d6finie par : 

Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p/ s p } 

- e) le dispositif de verification re9oit r = {U,V} et teste que : 
30 Si q = 1 alors h-j = H (V,MU) et h 2 = H(Uv) 

Si q = 2 alors hi = H(V, (MU) xor K) et h 3 = H(Uv) 
Si q = 3 alors h 2 = H(U) f h 3 = H(U xor V) et le poids de 
Hamming de V est d, 
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- f) si le test correspondant S q s'est av6re correct, le dispositif 
de verification considdre que le protocole s f est termini par un succfcs- 

Si le test n'est pas correct, le dispositif d' identification est 

rejete. 

5 Lorsque le dispositif est accepts, on envoie une impulsion de 

commande sur I'interface entree/sortie du systSme protege qui permet la 
mise en route de la transaction ulterieure. L'ensemble des operations ci- 
dessus est symbolise sur la figure 1 dans laquelle !a partie de gauche 
represente les differentes operations realis6es au niveau du dispositif 

10 d'identification tandis que la partie de droite represente les differentes 
operations realisees au niveau du dispositif de verification, les fieches 
symbolisant renvoi d'informations d'un dispositif vers I'autre. 

Pour accroTtre la securite du procede, les deux dispositifs 
d'identification et de verification r6p6tent les etapes ci-dessus plusieurs 

15 fois, ci savoir t fois, le dispositif de verification n'authentifiant le dispositif 
d'identification que si toutes les sessions du protocole se sont sold6es 
par un succes. De preference, on choisit t tel que 0 < t < 60, 

Le precede de base decrit ci-dessus peut Stre modifie de 
differentes manieres, permettant notamment une simplification de la 

20 realisation eiectronique ainsi qu'un raccourcissement des temps de 
calcul. Ainsi, il est possible de transmettre le vecteur My en cfair et de 
redefinir Hi = H(p) en modifiant les tests correspondents, Selon une 
autre variante, le dispositif de verification et/ou le dispositif 
d'identification peuvent faire un test partiel sur un sous-ensemble de 

25 coordonnees des vecteurs et effectuer ainsi les calculs de fapon plus 
rapide. Dans ce cas, certaines etapes du procede sont modifi6es telles 
que decrites ci-apres. 

Ainsi, retape b peut etre modifi6e de la fapon suivante : 
aprfes avoir choisi un vecteur aieatoire y et une permutation 

30 aieatoire p, 

- b) le dispositif d'identification calcule h-| = H(p), h2 = H(y p ), 
h3 = H ((y xor s) p ) et expedie I'engagement {hi, h£, h3> au dispositif 
de verification, 
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- c) le dispositif de verification tire de fapon aieatoire une liste 
de nombres mutuellement disjoints G = {gi, ...gf} telle que 1 < g; < k 
et I'envoie au dispositif d'identification, 

- d) le dispositif d'identification calcule seulement les f bits de 
5 My dont les emplacements sont indiques par G et expedie au dispositif 

de verification le vecteur Z ainsi obtenu, 

Dans ce cas, retape e est modiftee elle aussi de la fagon 

suivante : 

- e) le dispositif de verification report r = {U,V} et contrdle 

10 que : 

Si q = 1 alors h-j = H(V), h 2 = H(U V ) et Extrait (MU,G) xor 
2=0 ou Extrait (x # G) represente le vecteur projection obtenu en 
choisissant dans x seulement les bits indiqu£s par G ; 

Si q = 2 alors h 7 = H(V), h 3 » H(U V ) et Extrait (MU xor K,G) 

15 xorZ = 0; 

Si q = 3 alors h 2 = H(U), h 3 = H(U xor V) et le poids de 
Hamming de V est d. 

Selon une autre variante du procede, I'etape b peut §tre 
modifiee de la mantere suivante : 
20 - b) aprds avoir choisi un vecteur aieatoire y et une 

permutation aieatoire p, le dispositif d'identification calcule hi = H(p), 
h 2 - H (Yp)' h 3 = H KY xor S, P 1 et ex P 6die I'engagement {h-|, h 2 , h 3 ) 
au dispositif de verification ; 

- c) le dispositif d'identification calcule Q = My et exp6die le 
25 vecteur Q ainsi obtenu au dispositif de verification ; 

- d) le dispositif de verification tire de fapon aieatoire une liste 
de nombres mutuellement disjoints G = {g-|, gf} telle que 1 < g- f < k 
et calcule le vecteur Z = Extrait (Q,G). 

Alors retape e est modifiee de la manifere suivante : 
30 - e) le dispositif de verification report r = {U f V} et contr6le 

que : 

Si q = 1 alors h<| = H{V), h 2 - H(Uv) et Extrait (MU,G) xor 

Z = 0; 
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Si q = 2 alors hi = H(V), h 3 = H(Uv) et Extrait (MU xor K,G) 

xor Z = 0 ; 

Si q = 3 aiors h 2 = H(U) f h3 = H(U xor V) et le poids de 
Hamming de V est d. 
5 Un autre mode de mise en oeuvre du procede 

d'authentification est maintenant decrit avec reference S la figure 2. Ce 
second mode de realisation demande plus de calculs que le mode de 
realisation precedent, mais la probability de succSs d'une entite iliegale 
decroTt plus vite. Dans ce cas, le vecteur Sj est remplacg par un 
10 ensemble de vecteurs s[1], s[w] formant un code simplexe etendu. 
De plus le vecteur K\ est remplace par un ensemble de vecteurs K[1], 
K[w] tels que M(s[i]) = K[i]. 

Ce mode de realisation comporte done les etapes suivantes, 
symbolisees sur la figure 2 de maniere identique £ la symbolisation 
15 utilisee sur la figure 1 : 

- a) le dispositif d 1 identification choisit un vecteur aieatoire y et 
une permutation aieatoire p puis calcuie hi = H{My, p), h 2 = H(y p , 
s[1] pt s[w] p ) et expedie ('engagement {h-|, h 2 } au dispositif de 
verification, 

20 - b) le dispositif de verification tire de fagon aieatoire un 

vecteur binaire b[1], b[w] et Tenvoie au dispositif d'identification ; 

- c) le dispositif d'identification calcuie et envoie au dispositif 
de verification une reponse z definie par : 

z = y p xor s[1] p b[l] xor s[2] p b[2] xor s[3] p b[3] ... xor 
25 s[w] p b[wl ; 

- d) le dispositif de verification tire de fagon aieatoire un bit q 
et I'envoie au dispositif d'identification, 

- e) le dispositif d'identification envoie une r6ponse r definie 

par : 

30 Si q = 0 alors r = {y p , s[1] p , s[w] p } 

Si q = 1 alors r = {p} ; 

- f) le dispositif de verification report une reponse r = {r[01, 
r[1L r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 

- g) le dispositif de verification teste que : 
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Si q = 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w] et {r[1], r[2], r[w]} forme un code simplexe ; 

Si q = 1 alors H{M(depermute(z f r[0])) xor (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]), r[0]) » h<\ ; 
5 - h) si le test correspondant S q s'est av6r6 correct, ce 

dispositif de verification consid§re que le protocole s'est termini par un 
succ6s. 

Ce precede peut lui aussi etre modifie et adapts de manure & 
eviter la depermutation du vecteur z, et d effectuer une verification 
10 simplifiee sur un sous-ensemble des coordonn6es des vecteurs comme 
decrit ci-dessus. Dans ce cas, le proc6d6 peut comporter f par exemple, 
les etapes suivantes : 

- a) le dispositif d'identification choisit un vecteur aieatoire y et 
une permutation aieatoire p, puis calcule : 

1 5 hi = H(p) f h 2 = H(y p , s[1] p , , s[w] p ) et expedie 

('engagement {h-j, h2> et le vecteur ho = My au dispositif de 
verification ; 

- b) te dispositif de verification tire de fapon aieatoire un 
vecteur binaire b[1], b[w] et I'envoie au dispositif d'identification, 

20 - c) le dispositif d'identification calcule et envoie au dispositif 

de verification une r6ponse z definie par : 

z « y p xor s[1] p b[1] xor s[2] p b[2J xor s[3] p b[3] ... xor 
s[w] p b[w] ; 

- d) le dispositif de verification tire de fapon al6atoire un bit q 
25 et I'envoie au dispositif d'identification, 

- e) le dispositif d'identification envoie une reponse r definie 

par : 

Si q = 0 alors r = {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 
30 - f) le dispositif de verification repoit une reponse r = {r[0], 

r[1], r[w]} si q = 0 ou r = {r[0]} si q » 1 ; 

• g) le dispositif de verification teste que : 
Si q = 0 alors h 2 - H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]bfw] et {r[1], r[2], ... r[w]} forme un code simplexe ; 
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Si q = 1 alors h<| = H(r[0]) et (h 0 ) r [0] *or (K[1]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]) r[0 ] = z. 

Si le test correspondant s'est av6r6 correct, le dispositif de 
verification considere que le protocole s'est termini par un succds. 
5 Comme dans le cas du premier mode de realisation, le 

protocole decrit ci-dessus peut §tre rep6t6 t fois, le dispositif de 
verification n'authentifiant le dispositif d' identification que si toutes les 
sessions du protocole se sont soktees par un succ£s. 

D'autre part, la s6curit6 des deux methodes d6crites ci-dessus 
10 depend de la taille des differents parametres, notamment de d f n, k, et t. 
II est evident pour Thomme de ['art que le choix de t est facilement 
modulable en cours de fonctionnement, au niveau des deux dispositifs 
communiquant entre eux en fonction du contexte. En ce qui concerne les 
parametres d, n et k , il s'agit de parametres syst£me et leurs choix sont 
15 fixes a Torigine et plus difficilement modifiables. 

Ainsi, de preference, les parametres d, n, k sont choisis 
sensiblement sous la borne Warshamov-Gilbert donnant une valeur limite 
theorique pour le poids minimal d d'un code (n,k) al6atoire, d savoir : 
d = nH2(k/n) oCi H2(x) est la fonction d'entropie H2(x) = - x log2(x) - 
20 (1-x) log2d - x). Dans ce cas, d est choisi tel que : 

d = (k - n) log 2 d - (k/n)) - k Iog 2 (k/n) 

oud « (n - (k - n) log 2 d - (k/n)) + k log 2 (k/n). 

De plus, a la restriction de la borne de Warshamov-Gilbert, il 
convient d'ajouter une relation telle que 2k = n qui lie les valeurs de n et 
25 k. 

En utilisant les relations ci-dessus, de preference d = 0,11 n 
ou d = 0,89 n et les couples n et k peuvent prendre Tune des valeurs 
suivantes : 

{n = 384, k = 196} ou {n = 512, k = 256} ou {n = 1024, 
30 k = 512} ou {n = 768, k = 384). 

Selon une variante de realisation qui peut §tre utilisee dans 
I 'ensemble des m6thodes decrites ci-dessus, la fonction de hachage est 
remplacee par une fonction de chiffrement oO le message & hacher joue 
le role de la cie et/ou de messages £ chiffrer et oCi le contr6le de la 
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v6racit6 du message hach£ consiste d dgvoiler le message qui a 6t6 
hach6 et/ou la cl§ de chiffrement. On pourra se r£f6rer d ce sujet aux 
publications suivantes : 

- Ivan Damgaard, Crypto'89, "Design principles for hash- 
5 functions" ; 

- Naor and al. "one-way hash functions and their cryptographic 
applications", Proceedings of the 21 st annual ACM symposium on theory 
of computing, Seattle, Washington, May 15-17, 1989, pp 33-43 ; 

- Matyas, "Generating strong one-way functions with 
10 cryptographic algorithm", IBM Technical disclosure bulletin, vol. 27, 

N°10A, March 1985, pp.5658-5659. 

Dans le cas d'un proc6d§ bas6 sur le "Modular Knapsack", le 
choix du vecteur y et tous les calculs sont effectuSs modulo m et 
TopSration xor est rempIacSe par une addition ou une soustraction 
15 modulo m, les tests sur le poids 6tant remplac§s par la verification que 
toutes les coordonnSes du vecteur sont soit 0, soit 1 et que le poids de 
ce vecteur est constant, la relation reliant n, k et m 6tant : n - k ln(m)/ln 
2 et n - k > 64. Alors m est choisi parmi les nombres 2, 3, 5, 7 ou 2 C 
dans lequel c est un nombre entier petit et les ensembles {n, k, m} 
20 peuvent prendre Tune des valeurs suivantes : 

{196,128,3} ou {384,256,3} ou {128, 64, 5} ou {192, 96, 5}. 
Dans beaucoup de cas, il est' important d'avoir un moyen de 
d£duire s de I'identite ID du porteur du dispositif d'identification. Ceci 
permet, par exemple, d'Sviter la sauvegarde des cl6s publiques Kj aupr&s 
25 des dispositifs de verification et la mise 3 jour d'un dictionnaire de cl6s 
publiques d6s qu'un nouvel utilisateur rejoint le systdme. 

Pour ce faire, un code simplexe 6tendu sigma-|, sigma u est 
choisi par Pautorite une fois pour toutes comme paramStre. 

Pour enregistrer un utilisateur dont IMdentit6 est ID, on hache 
30 la valeur ID par une fonction a sens unique publique {par exemple la 
fonction de hachage H) et on obtient un vecteur binaire e<j, e u . On 
calcule : u 

S|q = £ e; sigma,- 
i = 1 
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On publie Ki = M(sigmai), K u = M(sigma) u et on donne 
sip 3 Tutilisateur ID. 

Les dispositifs de verifications peuvent calculer : 
u 

5 K|q = £ e f Ki 

i = 1 

ou le vecteur e-|, e u est donn£e par le hachage de ID et 
verifier que le dispositif d'identification possdde 

Pour atteindre un degr6 de s§curit6 suffisant, il est 

10 indispensable d'avoir u > 40 ce qui implique, S priori, des codes 
simplexes de taille trop importante. En r6alit6, il est facilement possible 
de se ramener a des tallies raisonnables en choissant une collection de L 
codes simplexes de petites dimensions {par exemple d = 64, dim = 7, 
n = 580, k = 290, L = 8) et en calculant pour chaque utilisateur une 

15 collection de L cles secretes s[1]jd, s[2]|q, s[L]|d obtenues comme 
suit. 

Choisir, une fois pour toutes L codes simplexes de dimension 

dim : 

sigma [1]<|, ... sigma[l]di m 
20 sigma [2]<], ... sigmal^]^ 

sigma [Ui # ... sigmatUdjm 

donner, a chaque dispositif d'identification, la collection 
complete des cles publiques K[i]j = M (sigma [i]j) pour i = 1, ...L et j = 
1, ...dim. 

25 Pour chaque utilisateur : 

1. Calculer : H(ID) = e-j, ...e u 

2. Partager le vecteur e en L segments ell], ... e[L] de dim bits 

chacun ; 

3. Pour i = 1 a L calculer : 
30 dim 

s[i]|o = £ e[i]jsigma[i]j 
j = 1 

4. Donner s[1]|d, s[2]|D/ s[I][d 2 P utilisateur. 
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On utilisera les clivers s[i]|D soit de fagon sSrielle (en utilisant 
aux tours successifs les s[il|Q a tour de rdle) ou paralieie, comme 
Tillustre le protocole suivant : 

a) le dispositif d' identification r6v6le son identity ID au 
5 dispositif de verification ; 

b) le dispositif de verification calcule K[1]|D/ K[2]|q,...,K[L]|d 

c) le dispositif d' identification choisit L vecteurs y[1],...ry[L] et 
L permutations p[1], p[L] f calcule hi = H({p[i]}, {My[i]}), h 2 = 
H t{yn] p [i]})/ h 3 = H ({y[i] xor s[i] p [j]}) et expedie I'engagement {h-|, h 2 , 

10 h 3 } au dispositif de verification ; 

d) le dispositif de verification tire de fagon aieatoire un nombre 
0 < q < 4 et Texpedie au dispositif d 1 identification ; 

e) le dispositif d r identification calcule et expedie au dispositif 
de verification une reponse r definie par : 

15 Siq = 1 alorsr « {{y[i]}, {p[i]}} 

Si q = 2 alors r = {{y[i] xor s[i]}, {p[il}} 
Si q - 3 alors r = {{y[i] p [j]}, {s[i] p [j]}} 

f) le dispositif de verification regoit r = {U, V} et teste que : 
Si q = 1 alors h<j = H ({V[i]} , {MU[i]}) et h 2 » H({U[i] V [i]}) 

20 Si q = 2 alors h-| = H ({Vti]} , ({MU[i]) xor K[i]}) et 

h 3 = H({U[i] V [i]}) 

Si q - 3 alors h 2 - H ({U[i]} , h 3 = H({U[i] xor V[i]}) et le 
poids des V[i] est d. 

g) Si le test correspondent a q s'est avere correct, le dispositif 
25 de verification considere que le protocole s'est termine par un succSs ; 

h) les deux dispositifs repetent les etapes a) h f) t fois. 

En version paralieie, le protocole prend la forme suivante : 

- a) I'identificateur revfele son identite ID au v6rifieur 

- b) le verifieur calcule K[1]|o # K[2]|q,..., K[L]|d 

30 - c) I'identifieur choisit L vecteurs y[1J, y[L] et 

L permutations p[1}, p[L], calcule = {H{p[i], My[i])}, 

h 2 = {H(y[il p fi])} r h 3 = { H ((yt'] xor sti] p [j])} et expedie I'engagement 
{hi, h 2 , h 3 } au verifieur, 
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- dHe verifieur tire de fapon al6atoire L nombres aI6atoires 
q[1L q[L] ouO < q{i] < 4 et les expSdie a I'identifieur 

- e) I'identifieur calcule et exp6die au verifieur L rgponses r[1], 
r[L] definies par : 

5 si q[i] = 1 alors r[i] = {y[i] f p[i]} 

si q[i] = 2 alors r[i] = {y[i] xor s(i], p[i]} 
si qfil = 3 alors r[i] = {y[i] p [j] s{i] p [jj} 

- f) le verifieur recoit les {r[i]} et contrdle les engagements 
d'une facon Svidente pour rhomme de I'art. 

10 Une autre methode pour relier ID S s est la suivante : 

- on introduit t secrets de poids at dont les bits £ un sont 
rdpartis sur 2at positions. Soit s[1], s[2], s[t] et on publie Ms[i] pour 
i = 1 f ...,t. 

Dans ce cas, la g6n6ration d'une cI6 se passe selon le 
15 processus suivant. II est aise, notamment par tiangulation partielle, de 
trouver un mot s tel que : 
t 

s = I x[i] s[i] et 
i = 1 

20 

t 

Ms = £ ejMsfl] et 
i - 1 

le poids de s est approximativement ta-t/2. 
25 Le choix des dimensions dans ce systdme est r6gi typiquement 

par les relations suivantes : 0,11 n = ta - 1/2, 2k = n et 2at8 > 56 ou 
2a-2a H 2 (5) - 1 . 

Typiquement, pour t = 56 on a : d = 95, n = 863, k = 432. 
II est Evident pour rhomme de Tart que d'autres combinaisons sont 
30 possibles. 

On decrira maintenant succintement, avec reference S la figure 
3, un mode de realisation schgmatique d'un dispositif d r identification qui 
peut etre, par exemple, une carte a puce. Ce dispositif d'identification 
comporte done une unit6 de commande 1, une mSmoire non volatile 2 
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qui peut etre seulement lue et qui contient par exemple la matrice M ou 
une fonction permettant d'obtenir les coefficients de la matrice M tels 
que definis ci-dessus ainsi que la cie secrete s,- du dispositif 
d'identification Iui-m§me. II comporte aussi une memoire d acc6s 
5 aieatoire 3, un multiplicateur vecteur-matrice dont le mode de realisation 
sera d6crit avec reference a la figure 5, un moyen pour realiser des OU 
exclusifs binaires 5, un generateur 6 de nombres aieatoires, une fonction 
de hachage 7 et un generateur de permutation 8, tous ces elements 
etant proteges physiquement. II comporte aussi un interface de 

10 communication permettant un echange de donnees entre le dispositif de 
verification et ('unite de commande du dispositif d* identification. Le 
generateur de nombres aieatoires peut etre realise par une source de 
bruit blanc numerise qui peut etre produit, par exemple, par une diode 
zener polarisee en inverse dans la zone dite "du coude"ou peut §tre aussi 

1 5 constitue par un generateur de nombres pseudo-aieatoires comme d£crit 
dans les brevets americains 4 817 147 au nom de GUNTER ou 4 649 
419 au nom d'ARAGON. D'autre part, le generateur de permutation 8 est 
capable de permuter des vecteurs binaires en utilisant, par exemple, la 
methode dScrite dans la demande de brevet europgen N°91 403065 ou 

20 dans Particle intitule "On the generation of permutation" de David 
Naccache dans le South African Computer Journal, n°2, 1990, pages 12 
a 16. 

La fonction de hachage peut etre realis6e par une fonction de 
hachage MD4 presentee par RIVEST a crypto 90, FFT-Hash II iteree 

25 convenablement, presentee par SCHNOR d Eurocrypt 92, ou par 
Talgorithme de chiffrement DES. 

Le dispositif de verification tel que represente d la figure 4 
comporte lui aussi une unite de commande 10, cette unite de commande 
10 etant reliee £ une memoire non volatile 11 du type ROM qui comporte 

30 la matrice M et la cie publique K, un calculateur du poids de Hamming 
12, un comparateur 13, un multiplicateur matrice-vecteur 14, une 
memoire a acces aieatoire 15, des moyens 16 pour realiser des OU 
exclusifs binaires identiques aux moyens 5 du dispositif d'identification, 
un generateur 17 de nombres aieatoires, tel que decrit ci-dessus, une 
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fonction de hachage 18 identique 3 la fonction de hachage 7 et un 
generateur de permutations 19. II comporte aussi une interface de 
communication 20 reltee & I'unit6 de commande 10 et permettant de 
gerer la communication entre le dispositif de verification et les diffdrents 
5 dispositifs d'identification. 

On d^crira maintenant avec reference £ la figure 5, un mode de 
realisation de la fonction multiplication de la matrice par un vecteur. Ce 
mode de realisation simplify peut @tre utilise avec un vecteur y de huit 
bits. Comme repr6sent§ sur la figure 5 concernant un multiplicateur 

10 matriciel M permettant de multiplier un vecteur y de huit bits par la 
matrice de dimensions correspondantes, ce multiplicateur est forme de 
huit portes-ET 1 1f 1 2 , I3, U, 15, 16* 17, 18- Chaque porte-ET regoit 
sur chaque entree, un bit du vecteur y et un bit de la ligne courante de la 
matrice M. Les sorties des porte-ET alimentent un r6seau triangulaire de 

15 porte OU exclusifs 2 q , 2 2 , 23, 2 4 , 3 1# 3 2 , 4 afin d'obtenir a la sortie du 
circuit le bit correspondant au produit scalaire de y par la ligne courante 
de la matrice M. De maniere plus spScifique, les sorties des portes 
1 2 sont envoyees en entree de la porte OU exclusif 2-j, les sorties des 
portes I3, 14 sont envoyees en entree de la porte OU exclusif 2 2 et les 

20 sorties de ces deux portes OU exclusif sont envoyfies en entree de la 
porte OU exclusif 3 q . De mantere identique, les sorties des portes 15, 1 q 
sont envoyees en entrge de la porte OU exclusif 23 et les sorties des 
portes 17, 1 s sont envoyees en entree de la porte OU exclusif 24, les 
sorties de ces deux portes OU exclusif 6tant envoy6es en entr6e de la 

25 porte OU exclusif 3 2 . Les sorties des portes OU exclusif 3-j, 3 2 sont 
envoyees en entree de la porte OU exclusif 4 dont la sortie S correspond 
au produit scalaire de y par la ligne courante de la matrice M. 
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REVINDICATIONS 

1. Precede d'authentification d'au moins un dispositif 
d'identification par un dispositif de verification, cette authentification 

5 etant realisee par un protocole & apport nul de connaissance base sur le 
probteme du decodage par syndrome ou le probteme connu sous le nom 
de "Modular Knapsack", le procede etant caracterise par les Stapes 
suivantes : 

- pour permettre le dialogue entre le dispositif dMdentification 
10 et le dispositif de verification, etablir une c!6 secrete constitute par au 
moins un vecteur Sj de dimension n et de poids de Hamming d (d<n) et 
une cle publique comprenant une matrice M de dimensions nxk dont les 
coefficients sont choisis aieatoirement et au moins un vecteur K\ tels que 
Kj = Msj ; 

15 - au niveau du dispositif d'identification, produire un vecteur 

aieatoire y de dimension n et une permutation aieatoire p et envoyer au 
dispositif de verification un engagement obtenu en appliquant une 
fonction de hachage cryptographique H sur des paramStres fonction de 
y, p, s et M ; 

20 - puis, en fonction d'un nombre aieatoire tire par !e dispositif 

de verification et envoye au dispositif d'identification, r6veier au 
dispositif d'identification, certains elements fonction de y, p et Sj sans 
reveler Sj ; 

- et en fonction du nombre aieatoire, tester au niveau du 
25 dispositif de verification £ I'aide des elements repus et de la cie publique 

que les engagements sont corrects ; 

- repeter les operations un nombre de fois fonction du niveau 
de securite souhaite. 

2. Proc6de selon la revendication 1, caracteris6 en ce que le 
30 vecteur Sj est un vecteur binaire. 

3. Procede selon les revendications 1 et 2, caracterise en ce 
que apr£s avoir choisi un vecteur aieatoire y et une permutation aieatoire 
p, le dispositif d'identification calcule : 
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h 1 = H(p.My), h2 = H(y p ) f h3 = H ((y xor s) p ) et exp6die 
('engagement (h-|, h2, h3> au dispositif de verification, (x p repr6sentant 
le vecteur x permute par p et xor la fonction Ou exclusif), puis le 
dispositif de verification tire de facon aieatoire un nombre 0 < q < 4 et 
5 i'expedie au dispositif d 1 identification, alors le dispositif d' identification 
calcule et envoie au dispositif de verification une r§ponse r dSfinie par : 

Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 
10 le dispositif de verification recoit r = {U,V} et teste que : 

Si q = 1 alors h q = H (V,MU) et h 2 = H (Uy) 

Si q = 2 alors = H(V f (MU) xor K) et h 3 = H(Uy) 

Si q = 3 alors Y\2 = H(U), (13 = H(U xor V) et le poids de 
Hamming de V est d. 
15 Si le test correspondant a q s'est av6r6 correct, te dispositif de 

verification considere que le protocole s'est terming par un succds. 

4. Procede selon les revendications 1 et 2, caract6ris6 en ce 
que, apres avoir choisi un vecteur aieatoire y et une permutation 
aieatoire p, le dispositif dMdentification calcule = H(p), h2 « H(y p ), 
20 h3 = H ((y xor s) p ) et expedie ('engagement {hf, h2, ^3} S ce dispositif 
de verification, 

le dispositif de verification tire de facon algatoire une liste de 
nombres mutuellement disjoints G = {g-|, ...gf} telle que 1 < gj < k et 
I'envoie au dispositif dMdentification, 
25 le dispositif dMdentification calcule seulement les f bits de My 

dont les emplacements sont indiques par G et exp6die au dispositif de 
verification le vecteur Z ainsi obtenu ; 

le dispositif de verification tire de fapon aieatoire un nombre 0 
< q < 4 et I'expedie au dispositif dMdentification, alors le dispositif 
30 dMdentification calcule et envoie au dispositif de verification une r6ponse 
r definie par : 

Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 



2700430 



22 

le dispositif de verification report r = {U,V} et contrdle que : 
Si q = 1 alors hi = H(V), h 2 = H(U V ) et Extrait (MU,G) xor 

Z= 0 ou Extrait (x, G) reprSsente le vecteur projection obtenue en 

choisissant dans x seulement les bits indiques par G ; 
5 Si q = 2 alors = H(V), h 3 = H(U V ) et Extrait (MU xor K,G) 

xor Z = 0 ; 

Si q = 3 alors h 2 = H(U), h 3 = H(U xor V) et le poids de 
Hamming de V est d ; 

Si le test correspondant 3 q s'est av6re correct, le dispositif de 
10 verification consid£re que le protocole s'est terming par un succ&s. 

5. Precede selon les revendications 1 et 2, caract6ris6 en ce 
que, apres avoir choisi un vecteur aleatoire y et une permutation 
aleatoire p, le dispositif d'identification calcule h-j = H(p), h 2 = H(yp), 
h 3 = H ((y xor s) p ) et expedie 1'engagement {h-|, h 2 , h 3 } au dispositif 
15 de verification ; 

le dispositif d' identification calcule Q = My et expedie le 
vecteur Q ainsi obtenu au dispositif de verification ; 

le dispositif de verification tire de fapon aleatoire une liste de 
nombres mutuellement disjoints G = {g-|, gf} telle que 1 < gj < k et 
20 calcule le vecteur Z = Extrait (Q,G) 

le dispositif de verification tire de fagon aleatoire un nombre 0 
< q < 4 et Texpedie au dispositif d 1 identification, alors le dispositif 
d 1 identification calcule et envoie au dispositif de verification une reponse 
r definie par : 
25 Si q = 1 alors r = {y,p} 

Si q = 2 alors r = {y xor s, p} 

Si q = 3 alors r = {y p , s p } 

le dispositif de verification regoit r = {U,V} et contrdle que : 
Si q = 1 alors h<| = H(V), h 2 = H(U V ) et Extrait (MU,G) xor 

30 Z = 0 ; 

Si q - 2 alors h<i = H(V), h 3 = H(U V ) et Extrait (MU xor K,G) 

xor Z = 0 ; 

Si q = 3 alors h 2 = H(U), h 3 = H(U xor V) et le poids de 
Hamming de V est d ; 
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Si le test correspondant a q s'est avgre correct, le dispositif de 
verification consid6re que le protocole s'est terming par un succds. 

6. Procede selon la revendication 1, caractgrise en de que le 
vecteur sj est remplacg par un ensemble de vecteurs s[1], s[w] 

5 formant un code simplexe gtendu. 

7. Procgdg selon la revendication 6, caractgrisg en ce que le 
vecteur K; est remplace par un ensemble de vecteurs K[1] r ... K[w] tels 
que M(s[i]] = K[i]. 

8. Precede selon les revendications 6 et 7, caractgrisg en ce 
10 que le dispositif d' identification choisit un vecteur algatoire y et une 

permutation aleatoire p puis calcule h<j = H(My, p), h2 = H(y p , s[1] p/ 
s[w] p ) et expedie ('engagement {h^, h£} au dispositif de verification, 
le dispositif de verification tire de fapon algatoire un vecteur 
binaire b[1], b[w] et Tenvoie au dispositif d' identification ; 
15 le dispositif d' identification calcule et envoie au dispositif de 

verification une rgponse z dgfinie par : 

z = y p xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b3] ... xor 
s[w] p b[w] ; 

le dispositif de verification tire de fa<?on algatoire un bit q et 
20 I'envoie au dispositif d'identification, 

le dispositif d'identification envoie une rgponse r dgfinie par : 
Si q = 0 alors r = {y p , s[1] p , s[w] p } 
Si q = 1 alors r = {p} ; 

le dispositif de verification repoit une reponse r = {r[0], r[1], 
25 r[w]} si q = 0 ou r = {rfO]} si q = 1 ; 

le dispositif de verification teste que : 

Si q = 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor rfw]b[w] et {r[1], r[2], r[w]} forme un code simplexe ; 

Si q = 1 alors H(M(depermute(z, r[0])) xor (K[1]b[1] xor 
30 K[2]b[2] xor K[3]b[3] xor K[w]b[w]), r[0] )= h-j ; 

si le test correspondant £ q s'est avgrg correct, le dispositif de 
verification considere que le protocole s'est terming par un succfes. 
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9. Procede selon les revendications 6 et 7, caracterise en ce 
que le dispositif d'identification choisit un vecteur aieatoire y et une 
permutation aieatoire p, puis calcule : 

hi = H(p) f h2 = H(y p , s[1] p , s[w] p ) et expedie 
5 ('engagement {h-|, h2) et le vecteur ho = My au dispositif de 
verification ; 

le dispositif de verification tire de fapon aieatoire un vecteur 
binaire b[l], b[w] et I'envoie au dispositif d' identification, 

le dispositif d'identification calcule et envoie au dispositif de 
10 verification une reponse z definie par : 

z = Yp xor s[1] p b[1] xor s[2] p b[2] xor s[3] p b[3] ... xor 
s[w] p brw] ; 

le dispositif de verification tire de fapon aieatoire un bit q et 
I'envoie au dispositif d'identification, 
15 le dispositif d'identification envoie une reponse r definie par : 

Si q = 0 alors r = {y p/ s[1] p/ s[w] p } 
Si q = 1 alors r = {p} ; 

le dispositif de verification report une reponse r = {r[0] t r[1], 
r[w]} si q = 0 ou r = {r[0]} si q = 1 ; 
20 le dispositif de verification teste que : 

Si q = 0 alors h 2 = H(r),z = r[0] xor r[1]b[1] xor r[2]b[2] xor 
r[3]b[3] ... xor r[w]b[w] et {r[l], r[2], ... r[w]} forme un code simplexe ; 

Si q = 1 alors h-| = H(r[0]) et (h 0 ) r [0] x <> r (K[l]b[1] xor 
K[2]b[2] xor K[3]b[3] ... xor K[w]b[w]) r[0 ] = z. 
25 Si le test correspondent s'est av6re correct, le dispositif de 

verification considere que le protocole s'est termine par un succSs. 

10. Procede selon Tune quelconque des revendications 1 d 9, 
caracterise en ce que le protocole est r6pete t fois et que le dispositif de 
verification n'authentifie le dispositif d'identification que si toutes les 

30 sessions du protocole se sont soldees par un succfes. 

11. Proc6de selon la revendicatlon 10, caracterise en ce que t 
est choisi tel que 0<t<60. 

12. Procede selon Tune quelconque des revendications 1 S 11, 
caracterise en ce que le poids de Hamming d est choisi tel que : 
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d = (k - n) log 2 (1 - (k/n)) - k \og 2 (k/n), et de preference 
sensiblement inferieur a cette valeur. 

13. Procede selon Tune quelconque des revendications 1 & 11, 
caracterise en ce que le poids de Hamming d est choisi tel que : 

5 d - (n - (k - n) log 2 d - (k/n)) + k Iog2 (k/n), et de 

preference sensiblement superieur S cette valeur. 

14. Procede selon I'une quelconque des revendications 13, 
caracterise en ce que n = 2k, 

15. Proc6d<§ selon Tune quelconque des revendications 12 d 
10 14, caracterise en ce que d= 0,1 1n ou d = 0,89 n 

16. Procede selon Tune quelconque des revendications 1 & 15, 
caracterise en ce que n et k prennent comme valeur Fun des couples 
suivants : 

(n = 384, k = 196} ou {n = 512, k = 256} ou {n = 1024, 
15 k = 512} ou {n = 768, k = 384} 

17. Procede selon Tune quelconque des revendications 1 a 16, 
caracterise en ce que la fonction de hachage est remplac6e par une 
fonction de chiffrement ou le message £ h§cher joue le rdle de la cte 
et/ou du message a chiffrer et 0C1 le contrdle de la v6racit6 du message 

20 hachS consiste & devoiler le message qui a 6t6 hSch6 et/ou la o\6 de 
chiffrement. 

18. Procede base sur le "Modular Knapsack" selon I'une 
quelconque des revendications 1 a 17, caract6ris6 en ce que le choix du 
vecteur y et tous les calculs sont effectuSs modulo m et I'opgration xor 

25 est remplacee par une addition ou une soustraction modulo m, les tests 
sur le poids etant remplacSs par la verification que toutes les 
coordonnSes du vecteur sont soit 0, soit 1 et que le poids de ce vecteur 
est constant, la relation reliant n, k et m etant : n ~ k ln(m)/ln 2 et fi- 
le >64. 
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19. Procede selon la revendication 18, caract§ris6 en ce que m 
est choisi parmi les nombres 2, 3, 5, 7 ou 2 C dans lequel c est un 
nombre entier petit. 

20. Proc§d6 selon les revendications 18 ou 19, caract6ris6 en 
5 ce que {n,k,m} prennent comme valeurs Tune des valeurs suivantes : 

{196, 128, 3} ou {384, 256, 3} ou {128, 64, 5} ou {192, 96, 5}. 

21. Proced6 selon Tune quelconque des revendications 1 d 20, 
caracteris§ en ce que le calcul de H(p) est effectu§ en calculant H{ep) oti 
e est un vecteur constant pseudo-ateatoire. 

10 22. Proc6de selon I'une quelconque des revendications 1 & 21, 

caracterise en ce que pour pouvoir associer I'identitS ID de chaque 
utilisateur a ses cles {s;, Kj}, I'autoritS g6n6ratrice choisit un ensemble de 
cl6s secretes primaires {KPj} et hSche ID en un vecteur binaire I = H(ID) 
servant 3 calculer s\ comme fonction des KPj , l'autorit6 publiant 

15 ['ensemble des cles publiques primaires {PPj} ou {PPj} = f (KPj). 

23. Proc6d6 selon la revendication 22, caract6ris§ en ce que 
I'autorite utilise les bits de I comme indicateurs de selection permettant 
de decider pour chaque KPj si celui-ci intervient dans le processus de 
calcul de s ou non. 

20 24. Proced6 selon la revendication 23, caract6ris§ en ce que 

Tensemble {KPj} forme un ou plusieurs codes simplexes Stendus. 

25. Procede selon la revendication 24, caract6ris6 en ce que I 
est un nombre de 56 bits. 

26. Procede selon les revendications 22 d 25, caract6ris6 en 
25 ce que s est calcule comme combinaison fingaire des KPj soit 

s = I [1] KP-| + I [2] KP 2 + ... I [taille de I] K p tai || e de | et oCi 
PPj = (KPj). 

27. Procede pour relier ID a s selon les revendications 22, 23 
et 25, caract6ris§ en ce que Ton realise les calculs suivants : 

30 

- I'autorite selectionne t secrets KPj de poids at dont les bits & 
un sont r§partis sur 2at positions, publie I'ensemble des PPj = M(KPj) et 
genere une cI6 s par triangulation partielle de la fagon suivante : 
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t 

s = E x[i] KPj 
i = I 

5 t 

Ms = I Ki] PPj et 
i = I 

ie poids de s = ta-t/2 

le choix des dimensions <§tant r£gi par les relations suivantes : 
10 0,11 n = ta-t/2, 2k = n et 2at5 > 56 oil 2a-2aH2<5) - 1. 

28. Procede selon la revendication 27, caract6ris6 en ce que 
t = 56, d = 95, n = 864, k = 432. 

29. Systeme pour la mise en oeuvre du proc6d§ selon Tune 
quelconque des revendications 1 & 28, comprenant au moins un 

15 dispositif d'identification et un dispositif de verification, caract6ris6 en ce 
que le dispositif d'identification comporte au moins des moyens pour 
multiplier une matrice M de dimensions n x k, par des vecteurs de n bits 
des moyens pour stocker un vecteur secret s; d'un poids de Hamming d, 
des moyens pour produire un vecteur aieatoire y et une permutation 

20 aieatoire p, des moyens pour r6aliser un hachage cryptographique H et 
des moyens de communication avec le dispositif de verification. 

30. Systeme selon la revendication 29, caracteris§ en ce que 
le dispositif de verification comporte au moins des moyens pour 
multiplier une matrice M de dimensions n x k, par des vecteurs de n bits 

25 des moyens pour stocker au moins un vecteur public Kj tels que K\ = 
Msj, des moyens pour produire aieatoirement un nombre entier, des 
moyens pour realiser un hachage cryptographique H et des moyens de 
communication avec les dispositifs d'identification. 

31. Systeme selon les revendications 29 et 30, caract6ris6 en' 
30 ce que la matrice M est g6n6ree par un generateur deterministe de 

nombres pseudo-aleatoires. 

32. Systeme selon ies revendications 29 a 31, caracteris6 en 
ce que le multiplieur matriciel M est form§ d'un alignement de portes "et" 
aux entrees de chacune desquelles on applique un bit du vecteur y et un 
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bit de la ligne courante de la matrice M et olj les sorties des portes n et" 
alimentent un r6seau triangulaire de portes n xor ,f afin d'obtenir & la sortie 
du circuit le bit correspondant au produit scalaire de y par la ligne 
courante de la matrice M. 



1/5 



2700430 



Dlspositif d / Identification I 



Cle secrete - vecteur s 



Produire un vecteur binaire 
aleatoire y 

Produire une permutation 
aleatoire p 

Calculer h 1 « H(p, My) 

h 3 - H((y«s) p ) 
Bnvoyer {h 1# h 2 , h^y 

Recevoir q 4 



Si q - 1 alors r 
Si q ■ 2 alors r 
Si q - 3 alors r 

Envoyer r 



{y, P> 
{y«s, p} 

<V V 



FIG.1 



Dlspositif gS verification! 



CIA Publique - vecteur k 



Produire un nombre aliatoire 
q « U,2,3> 



-» Recevoir {h x , h 2 , h 3 > 



Envoyer q 



> Recevoir r 

Si q - 1 verifier : h 



1 h 2 



Si q - 2 verifier : h- , h- — , 



Si q - 3 verifier 
et le poids de Hamming 

•p 



: h 2 . h 3 | 
ming de J 




oui 



Dlsposi- 
tif 

accepts 



Dlspositif re jet* 



INTERFACE E/S DU SYSTEME 
PROTEGE 



2/5 



2700430 



bisposlilf ^identification 



Clft seer ft te - v vecteura {s^} 



Produire nn vecteur binaire 
aKatoiro y 

Produire une permutation 
alftatoire p 



Calculer h x « H(p, My) 

*> 2 « H(y p ) 
Envoyer {h % , h 2 > 
Recevoir b 

Envoyer z « £y • £ b i s i] 
Recevoir q 



Si q=*0 alors r * {y - s ± #---« w } 



Si q»l alors r » p 
Envoyer r 



FIG. 2 



fiisposifcif de verification 
Clft Publique - v vecteur s {K^} 



Produire un bit alftatolre q 
Produire un vecteur binaire 
alftatoire de longueur v. 



-» Recevoir {h 1# h 2 > 
— Envoyer b 



-» Recevoir z 



Envoyer q 



► Recevoir r 

Si q - 1 verifier : h 

Si q * 0 verifier ; h. 



1 

et 



tester que 1' ensemble de 
de vecteurs s„ 



est un code 
simplexa 




oui 



Disposi- 
tif 

accepts 



Dispositif rejet6 



INTERFACE E/S DU SYSTEME 
PROTEGE 



3/5 



2700430 




2700430 



A/5 




5/5 



2700430 



entree y de 0 a 3 



entree y de 4a 7 




entree M de 0a3 



entree M de 4a7 



FIG. 5 



REPUBLIQUE FRANCHISE 



2700430 

N° <f enregistrement 



INSTITUT NATIONAL 
de la 

PROPRIETE INDUSTRIELLE 



RAPPORT DE RECHERCHE PRELIMINWRD215915 

etabli sur la base des demieres revendications py^ 481874 

deposees avant le commencement de la recherche 



DOCUMENTS CONSIDERES COMME PERTINENTS 



Categorie 



Citation da document avec indication, en cas de besom, 
des parties pertjnentes 



Revendications 
concern ees 



de la demande 
examinee 



D,A 



US-A-4 932 056 (SHAMIR) 

* colonne 1, ligne 27 - colonne 2, ligne 
54 * 

* colonne 2, ligne 62 - colonne 3, ligne 
49 * 

* figure 1 * 

ADVANCES IN CRYPTOLOGY - PROCEEDINGS OF 
CRYPTO 91 

Santa Barbara, 11-15 August 1991, 
BERLIN (DE) 

pages 204-212; (XP000269033) 
Y.M.CHEE ET AL.: 

"THE CRYPTANALYSIS OF A NEW PUBLIC-KEY 
CRYPTOSYSTEM BASED ON MODULAR KNAPSACKS" 

* page 204, ligne 1 - page 206, ligne 15 * 



1,29 



1,29 



DOMAIN ES TECHNIQUES 
RECHERCHES (fat. O.S ) 



H04L 
G07F 



a 

I- 



Date ifachtveneat de la recbercfa 

21 SEPTEMBRE 1993 




CATEGORIE DES DOCUMENTS CITES 

X : particalierement pertinent a lui seul 

Y : parti culierement pertinent en combfnaison avec un 

autre document de la meme categorie 
A : pertinent a i'encontre d'an moms une revendication 

ou arriere-plan technologique general 
O : divulgation non-ecrite 

P : document Intercalate 



T : theorie ou principe a la base de ^invention 

E : document de brevet bentrtdant d'une date anterieure 

a la date de depfit et qui n'a ete publie qtfa cette date 

de depdt ou qora one date posteneure. 
D : cite dans la demande 
L : cite pour (Fautres raisons 

& : membre de la meme faraiile, document correspondant 



